复旦与中国电信联合研发软件供应链安全治理平台取得重要突破、项目一期圆满结束
No.1
项目背景
“随着开源软件供应链安全形式的日益严峻,第一时间获取高质量漏洞威胁情报并判断其是否真实影响公司软件系统成为了阻止严重安全事件发生的关键屏障。”
当前,开源已是云计算、大数据、人工智能、工业互联网等新兴领域的主要开发模式,软件供应链的开源化趋势越来越明显,根据Forrester Research研究,应用软件中80%~90%的代码来自开源组件,开源组件的安全性直接关系到信息系统基础设施的安全。与此同时,大量开源组件的引入和它们之间错综复杂的依赖关系使得软件供应链越来越趋于复杂化和多样化,软件供应链安全风险不断加剧,Gartner预测到2025年全球45%的企业机构将遭遇软件供应链攻击,相比2021年增加了3倍。
我国政府也较早的意识到了软件供应链安全问题的重要性,积极制定相关法规政策,推动软件供应链安全领域技术进步。“强化网络安全、数据安全和个人信息保护”已经连续两次作为目标在政府工作报告中出现,《“十四五”软件和信息技术服务业发展规划》中更是明确提及软件供应链安全。
No.2
创新落地
"在数字化浪潮中,开源软件已成为企业发展的重要推手。然而,随之而来的供应链安全风险不容忽视。科研与企业在此领域的深度融合,特别是在及时获取和处理漏洞威胁情报方面,已成为确保企业数字资产安全的关键。"
治理平台态势感知大屏
复旦大学系统软件与安全实验室团队也将提升独立自主的软件供应链安全治理能力作为目标之一,深耕领域核心技术,取得了一系列重大成果,针对日益严峻的软件供应链安全形势,与中国电信联合研发了一套软件供应链安全治理平台。
2023年10月25日,软件供应链安全治理平台项目一期交付验收三方评审会议在线上成功举行,该项目由复旦大学系统软件与安全实验室和电信天翼安全科技有限公司联合研发。本次会议由电信安全公司SOC部门主持,召集复旦研发团队、电信研发团队及相关部门进行。会议充分讨论了项目的各个环节,从数据、工具、系统、文档等多维度进行了审核。会议得出,软件供应链安全治理平台项目一期圆满通过三方评审,项目从数据质量、系统功能实现方面整体表现优秀,应用效果优于现有产品。
No.3
产研结合
“通过将科学研究与市场需求相结合,推动科技成果的实际应用和产业升级。通过这种多元融合,能够更有效地应对新兴挑战,促进知识与技术的共享和创新。”
漏洞信息增强、软件成分分析、漏洞误报消除方案
在本项目的建设过程中,复旦团队发现当前主流漏洞数据的填充多基于人工提交,信息的完整性与准确度难以保证,错漏现象时有发生,在国家级漏洞库海量数据的背景下,该问题逐渐成为漏洞治理过程中的痼疾,并直接导致了企业软件系统中长期存在的高危漏洞难以被发现。
为此,复旦大学系统软件与安全实验室研究人员经过对各开源漏洞信息库的综合情况进行调研,依托于实验室一直以来在程序分析和人工智能上的技术积累,针对漏洞治理过程中所需要的关键信息,提出了一系列的漏洞信息增强、软件成分分析、漏洞误报消除等方案,并在代表性云组件上验证了方案效果。且通过与市面上漏洞治理相关产品的横向对比,具有漏报、误报低的优势,可以帮助企业在系统中快速、准确地找到安全隐患,减少漏洞研判过程中因为漏洞信息不完整、不准确导致的效率问题,并为后续漏洞治理工作提供高质量的漏洞修复建议与方案。相关研究成果经整理后发表在网络安全顶级学术会议ACM CCS、USENIX Security以及IEEE Security&Privacy上。
No.4
项目成果
“我们通过创新的方法和跨领域合作,成功实施了一系列有效的安全措施和策略。这些成果不仅提高了供应链的安全性,也为整个行业建设了新的安全治理方案。”
经过一年多的联合研究,软件供应链安全治理平台项目一期顺利结束。双方一致认为,该项目在漏洞相关数据的数量及质量方面都表现出色,建设了涵盖国内外主流软件漏洞数据的大型综合漏洞知识库以及更加完善的组件-漏洞关联关系,实现了精准的漏洞关联与告警能力。软件供应链安全治理平台项目一期工作的成功交付为项目后续工作奠定了坚实的基础,将进一步推动行业的发展和创新。
素材:张磊、张梦露
供稿:张磊、张梦露
排版:孙福特
审核:张琬琪、洪赓、邬梦莹
复旦白泽战队
一个有情怀的安全团队
还没有关注复旦白泽战队?
公众号、知乎、微博搜索:复旦白泽战队也能找到我们哦~